Nehmen wir mal an Server x wird gedost mit 1 Gbit (weil er ja nicht mehr kann) und ist down. Wie kommen dann solche Werte zu Stande mit 30Gbit ddos?
Der Server mag zwar nur mit 100 Mbit/s im Rechenzentrum selbst angebunden zu sein, kann aber natürlich größere Datenmengen empfangen. Nehmen wir an es kommt eine 30 G DDOS:
30 G DDOS Router -> 10 G Core Router -> 1 G Switch -> 100 Mbit Server
Wenn das ganze so aussieht, dann schlägt die 30 G DDOS auf den Router auf, macht den 10 G Link des Core Routers dicht, den 1 G Uplink des Switches und den 100 Mbit Uplink des Servers. der Traffic der an den Server geschickt wird kommt ja grundsätzlich am Rechenzentrum an und der Router versucht diesen dann natürlich unabhängig der Bandbreitenmenge an den Server durchzurouten. Das ganze kann man sich in etwa vorstellen wie mit einem Trichter. Läuft der Trichter über, wenn ich zu viel Wasser reinschütte, ist das vergleichbar mit dem Paket Loss.
Anders ist es, wenn ich Daten vom Server sende. Dann greift die 100 Mbit Information. Denn der Server selbst kann nicht mehr als 100 Mbit in das Netzwerk senden.
Eine Lösung um die Auswirkung von Angriffen unter 10 G zu begrenzen wäre es, das Nadelöhr Core Router -> Switch mit 10 G Glasfaser zu versorgen. Dann würden sich die Angriffe, bis diese vom Router 0 routed werden, nicht auf andere Kunden am selben Switch auswirken.
Also:
unter 10 G DDOS Router -> 10 G Core Router -> 10 G Switch -> 100 Mbit Server
Dann würde die DDOS nur der Kunde merken, der auch wirklich davon betroffen ist. Problematisch ist dieser Ansatz aber vom Kostenaufwand. Man benötigt viele 10 G Links beim Core Router, dieses Equipment ist sehr teuer (16.000 € alleine für einen Juniper Switch) Dann braucht man natürlich für die Redundanz 2-3 solche Geräte als Fallback pro 24-48 Links. Dazu die Switche mit 10 G Glasfaser Link bei den Servern selbst. Kostenfaktor ca. 1.700 €. Hier müsste eine Firma wie Hetzner vermutlich die Preise für die Server hochsetzen um eine derartige Lösung zu finanzieren. Man steht also in einer art Diskrepanz zwischen Preisdruck <-> Netzwerkqualität. Auch wir müssen uns hier natürlich Gedanken machen, wie man dieses Problem auf lange Sicht gesehen besser handhaben kann, denn die Angriffe und Bandbreite der Angreifer wird mehr und das Wettrüsten hat gerade erst begonnen.
Es kann natürlich auch sein, dass irgendwann einmal die Routing Provider wie DTAG oder DE CIX reagieren und eigene Mechanissmen einbauen um derartige Angriffe zu blockieren. Das ist aber immer eine Frage der Interessen, denn grundsätzlich verdienen diese Anbieter damit natürlich Geld, denn Traffic und Bandbreite ist deren Kapital. Diese haben daher eher ein Interesse noch 10x mehr DDOS Angriffe durch das Netzwerk zu routen und mit den Providern abzurechnen als etwas dagegen zu unternehmen.
Was treibt ein Kunde mit so vielen Maschinen 